VPN-Gateway erstellen

Erstellen eines VPN-Gateways in der Konsole

Gehen Sie folgendermaßen vor, um ein VPN-Gateway in der Konsole zu erstellen:

1. Öffnen Sie in Ihrem Browser die Konsole IBM Cloud und melden Sie sich bei Ihrem Konto an.

2. Wählen Sie das Navigationsmenü aus und klicken Sie dann auf Infrastruktur- VPC > Netzwerk > VPNs.

3. Wählen Sie unbedingt die Registerkarten Site-to-Site-Gateways > VPN-Gateways aus.

4. Klicken Sie auf der Seite 'VPNs for VPC' auf Erstellen und wählen Sie dann die Kachel Site-to-Site-Gateway aus.

5. Geben Sie die folgenden Informationen an:

   • Region- Wählen Sie die Region aus, in der das VPN-Gateway bereitgestellt werden soll.

   • VPN-Gatewayname - Geben Sie einen Namen für das VPN-Gateway ein (z. B. my-vpn-gateway).

   • Ressourcengruppe - Wählen Sie eine Ressourcengruppe für das VPN-Gateway aus.

   • Tags: Fügen Sie optional Tags zum Identifizieren dieses Gateways hinzu.

   • Zugriffsmanagementtags-Optional können Sie Zugriffsmanagementtags zu Ressourcen hinzufügen, um die Zugriffssteuerungsbeziehungen zu organisieren. Das einzige unterstützte Format für Zugriffsverwaltungstags ist key:value. Weitere Informationen finden Sie unter Zugriff auf Ressourcen mithilfe von Tags steuern.

   • Virtual Private Cloud - Die VPC für das VPN-Gateway auswählen.

   • Subnetz- Wählen Sie das Subnetz aus, in dem Sie das VPN-Gateway erstellen möchten. Wichtige Informationen zu Teilnetzen finden Sie unter Hinweise zur Planung.

   • Modus-Wählen Sie ein richtlinienbasiertes oder ein routenbasiertes VPN aus. Weitere Informationen zu VPN-Typen finden Sie unter VPN-Features.

   • ASN- Ein numerischer Bezeichner für das VPN-Gateway. Dieser Wert identifiziert Ihr lokales Netzwerk für BGP-Peering und wird während des Aufbaus der BGP-Sitzung mit Ihrem lokalen Gerät verwendet.

   • Angekündigte CIDRs (optional)- Die CIDR-Bereichswerte, die die IPv4 Netzwerkbereiche an die entfernten VPN-Peers ankündigen.

     Der ASN-Wert ist für das dynamische Routing erforderlich. Wenn Sie keine ASN angeben, wird das VPN-Gateway mit der Standard-ASN 64520 erstellt. Sie können den lokalen ASN-Wert nicht mehr ändern, nachdem Sie das VPN-Gateway mit dem Transit-Gateway verbunden haben.

6. Aktivieren Sie im Abschnitt VPN-Verbindung für VPC den Schalter, um die Konnektivität zwischen diesem Gateway und dem Netz außerhalb Ihres VPN einzurichten. Sie können auch eine VPN-Verbindung hinzufügen, nachdem Sie das Gateway bereitgestellt haben. Geben Sie im Abschnitt Verbindungsdetails die folgenden Informationen an:

   • VPN-Verbindungsname - Geben Sie einen Namen für die Verbindung ein (z. B. my-connection).

   • Verbindungstyp- Wählen Sie einen statischen oder dynamischen Verbindungstyp.

   • Peer-Gateway-Adresse-Geben Sie die Peereinheit über eine öffentliche IP-Adresse oder einen FQDN des VPN-Gateways für das Netz außerhalb Ihrer VPC an.

   • Peer-ASN (nur bei dynamischer Route)- Wenn Sie als Verbindungstyp "Dynamisch" wählen, müssen Sie die Peer-ASN angeben. Dieser Wert identifiziert das entfernte Peer-Netzwerk, mit dem das VPN Routen austauscht.

     Bestimmte ASN-Werte sind eingeschränkt und können nicht als Peer-ASNs verwendet werden, darunter 0, 13884, 36351, 64512, 64513, 65100, 65200–‍65234, 65402‍–‍65433, 65500 oder 4201065000‍–‍4201065999. Diese Werte sind entweder reserviert oder Teil privater ASN-Bereiche und können Routing-Konflikte verursachen.

   • Modus einrichten-Wählen Sie entweder Bidirektional oder Nur Peer aus.

     • Der bidirektionale Modus initiiert IKE-Protokollverhandlungen (oder Rekeying-Prozesse) von beiden Seiten des VPN-Gateways.
     • Im Modus Nur Peer kann der Peer IKE-Protokollvereinbarungen für diese VPN-Gateway-Verbindung einleiten. Der Peer ist auch dafür verantwortlich, die Schlüsselneuerstellung einzuleiten, nachdem die Verbindung hergestellt wurde.

     Wenn sich Ihre Peereinheit hinter einer NAT-Einheit befindet und keine öffentliche IP-Adresse hat, müssen Sie Nur Peer angeben.

   • Vorab verteilter Schlüssel - Geben Sie den Authentifizierungsschlüssel des VPN-Gateways für das Netz außerhalb Ihrer VPC an. Der vorab verteilte Schlüssel ist eine Zeichenfolge aus Hexadezimalziffern oder eine Kennphrase aus druckbaren ASCII-Zeichen. Die Zeichenfolge muss die folgenden Regeln einhalten, damit sie mit den meisten Peer-Gateway-Typen kompatibel ist:

     • Kann eine Kombination aus Ziffern, Klein- oder Großbuchstaben oder den folgenden Sonderzeichen sein: - + & ! @ # $ % ^ * ( ) . , :
     • Die Zeichenfolge muss 6 bis 128 Zeichen lang sein.
     • Sie darf nicht mit den Zeichen 0x oder 0s beginnen.

   • Verkehr verteilen (nur routenbasiertes VPN)- Aktivieren Sie diese Option, um den Verkehr automatisch zwischen den aktiven Tunneln des VPN-Gateways zu verteilen, wenn der nächste Hop einer VPC-Route die VPN-Verbindung ist. Diese Option ist nützlich, um den Durchsatz zu maximieren, wobei zwei VPN-Tunnel eine Verbindung zu Ihrem Remote-Peer-Netzwerk herstellen. Wenn diese Option nicht aktiviert ist, wählt das VPN-Gateway den Tunnel mit der kleineren öffentlichen IP als primären Pfad und wechselt nur dann zum sekundären Tunnel, wenn der primäre ausfällt. Weitere Informationen finden Sie unter Anwendungsfall 4: Verteilen des Datenverkehrs für ein routenbasiertes VPN.

   • Lokale Teilnetze (nur richtlinienbasiertes VPN) - Geben Sie ein oder mehrere Teilnetze in der VPC an, zu denen Sie über den VPN-Tunnel eine Verbindung herstellen möchten.

   • Peer-Subnetze (nur richtlinienbasiertes VPN)- Geben Sie ein oder mehrere Subnetze im Peer-Netzwerk an, die Sie über den VPN-Tunnel verbinden möchten.

     Die Bereichsüberlagerung von Teilnetzen zwischen lokalen und Peer-Teilnetzen ist nicht zulässig.

7. Geben Sie im Abschnitt Tunneldetails (nur bei dynamischer Route) die für das dynamische Routing mit BGP erforderlichen Tunnel- und Peer-Interface-IPs an.

   • Tunnel interface IP- Geben Sie die IP-Adresse an, die der VPN-Gateway-Seite des VPN-Tunnels zugewiesen ist.

   • Peer interface IP- Geben Sie die IP-Adresse an, die der entfernten Netzwerkseite des VPN-Tunnels zugewiesen ist. Diese Adresse ist Ihr lokales Gerät oder Ihr Peer-VPN-Gateway.

     Die IPs der Tunnel- und der Peer-Schnittstelle müssen zusammenhängend sein und zum selben /30 Subnetz gehören. Dieses Subnetz bietet vier IP-Adressen, wobei die erste (Netzwerkadresse) und die letzte (Broadcast-Adresse) reserviert sind. Im Teilnetz 192.168.0.0/30 sind beispielsweise die IPs 192.168.0.1 und 192.168.0.2 nutzbar. Wenn Sie 192.168.0.1 der Schnittstelle von Tunnel 1 zuweisen, dann müssen Sie 192.168.0.2 der Schnittstelle von Peer 1 zuweisen. Verwenden Sie in ähnlicher Weise für Tunnel 2 ein anderes /30-Subnetz, z. B. 192.168.0.4/30. In diesem Fall weisen Sie 192.168.0.5 der Schnittstelle von Tunnel 2 und 192.168.0.6 der Schnittstelle von Peer 2 zu. Außerdem dürfen sich die Tunnel-IPs, die für den Aufbau von IPsec-Verbindungen verwendet werden, nicht mit dem CIDR-Bereich überschneiden, der für die Transit Gateway-Verbindung gewählt wurde.

8. Im Abschnitt Dead peer detection (Erkennung toter Gegenstellen ) konfigurieren Sie, wie das VPN-Gateway Nachrichten sendet, um zu prüfen, ob die Gegenstelle aktiv ist. Geben Sie die folgenden Informationen an:

   • Aktion - Geben Sie die Aktion bei Erkennung inaktiver Peers an, die ausgeführt werden soll, wenn ein Peer-Gateway nicht mehr reagiert. Wählen Sie zum Beispiel Erneut starten aus, wenn das Gateway die Verbindung sofort erneut vereinbaren soll.
   • Intervall (Sek.) - Geben Sie an, in welchen Zeitabständen überprüft werden soll, dass das Peer-Gateway aktiv ist. Standardmäßig werden alle 2 Sekunden Statusprüfungsanforderungen gesendet.
   • Zeitlimit (Sek.) - Geben Sie an, wie lange auf eine Antwort vom Peer-Gateway gewartet werden soll. Standardmäßig wird ein Peer-Gateway als nicht aktiv eingestuft, wenn innerhalb von 10 Sekunden keine Antwort empfangen wird.

9. Geben Sie im Abschnitt Richtlinien die Optionen für Internet Key Exchange (IKE) und Internet Protocol Security (IPsec) an, die für Phase 1 und Phase 2 beim Vereinbaren der Verbindung verwendet werden sollen.

   • Wählen Sie Automatisch aus, wenn das Gateway versuchen soll, die Verbindung automatisch herzustellen.
   • Wählen oder erstellen Sie benutzerdefinierte Richtlinien, wenn:
     • Sie müssen bestimmte Sicherheitsanforderungen durchsetzen.
     • Das VPN-Gateway im anderen Netz unterstützt die Sicherheitsvorschläge, die bei der Einrichtung automatisch ausgehandelt werden, nicht.

   Die IKE- und IPsec-Sicherheitsoptionen, die Sie für die Verbindung angeben, müssen genau mit den Optionen übereinstimmen, die auf dem Peer-Gateway für das Netzwerk außerhalb Ihrer VPC eingestellt sind.

10. Im Abschnitt "Erweiterte Optionen" können Sie lokale und Peer-IKE-Identitäten anpassen, anstatt die Standard-IKE-Identität zu verwenden. Es kann maximal eine Peer-IKE-Identität angegeben werden.

    Für richtlinienbasierte VPN-Gateways können Sie höchstens eine lokale IKE-Identität konfigurieren. Wenn Sie für routenbasierte VPN-Gateways eine lokale IKE-Identität konfigurieren möchten, müssen Sie zwei angeben. Sie können Werte für die Mitglieder angeben oder die Eingabefelder leer lassen.

    • Lokale IKE-Identitäten-Wählen Sie einen Typ für die lokale IKE-Identität aus und geben Sie dann den zugehörigen Wert ein. Sie können beispielsweise eine einzelne 4-Oktett- IPv4-Adresse (9.168.3.4), einen FQDN (my-vpn.example.com), einen Hostnamen (my-host) oder eine base64-encoded-Schlüssel-ID (MTIzNA==) eingeben.

      • Der statische Routenmodus besteht aus zwei Membern im Aktiv/Aktiv-Modus, wobei die erste Identität für das erste Member und die zweite Identität für das zweite Member gilt. Wenn Sie keine lokalen IKE-Identitäten angeben, ist der Typ eine IPv4-Adresse und der Wert ist die öffentliche IP-Adresse des VPN-Verbindungstunnels des Mitglieds.

      • Der Richtlinienmodus besteht aus zwei Membern im Aktiv-Standby-Modus. Die lokale IKE-Identität gilt für das aktive Mitglied. Wenn Sie keinen Wert angeben, dann ist die lokale IKE-Identität die öffentliche IP-Adresse des VPN-Gateways.

    • Peer-IKE-Identität-Wählen Sie einen Typ für die Peer-IKE-Identität aus und geben Sie dann den zugehörigen Wert ein. Sie können zum Beispiel eine IPv4 Adresse (9.168.3.4), einen FQDN (my-vpn.example.com), einen Hostnamen (my-host) oder eine base64-encoded Schlüssel-ID (MTIzNA==) eingeben.

      Die Peer-IKE-Identität gilt für das aktive Mitglied. Wenn Sie keinen Wert angeben, verwenden Sie die IPv4-Adresse oder den FQDN des Peer-Gateways.

Erstellen eines VPN-Gateways über die CLI

Bevor Sie beginnen, richten Sie Ihre CLI-Umgebung ein.

Um ein VPN-Gateway über die CLI zu erstellen, geben Sie den folgenden Befehl ein:

ibmcloud is vpn-gateway-create VPN_GATEWAY_NAME SUBNET
    [--mode policy | route]
    [--advertised-cidrs IPv4_NETWORK_RANGE]
    [--local-asn ASN_NUMBER]
    [--resource-group-id RESOURCE_GROUP_ID | --resource-group-name RESOURCE_GROUP_NAME]
    [--output JSON] [-q, --quiet]

Dabei gilt:

VPN_GATEWAY_NAME

Der Name des VPN-Gateways.

SUBNET

Die ID des Teilnetzes.

--mode

Der Modus des VPN-Gateways. Einer von: policy, route.

--advertised-cidrs

IPv4 netzwerkbereich, um der entfernten VPN-Gegenstelle die Adresse mitzuteilen.

--local-asn

Identifiziert Ihr lokales Netzwerk für BGP-Peering.

--resource-group-id

Die ID der Ressourcengruppe. Diese Option schließt sich mit --resource-group-name gegenseitig aus.

--resource-group-name

Der Name der Ressourcengruppe. Diese Option schließt sich mit --resource-group-id gegenseitig aus.

--output

Ausgabe im JSON-Format.

-q, --quiet

Eine Option, die die ausführliche Ausgabe unterdrückt.

Erstellen eines VPN-Gateways mit der API

Gehen Sie folgendermaßen vor, um ein VPN-Gateway mit der API zu erstellen:

1. Richten Sie Ihre API-Umgebung mit den richtigen Variablen ein.

2. Speichern Sie alle zusätzlichen Variablen, die in den API-Befehlen verwendet werden. Beispiel:

   • ResourceGroupId - Suchen Sie die Ressourcengruppen-ID mithilfe des Befehls get resource groups und füllen Sie dann die Variable:

   export ResourceGroupId=<your_resourcegroup_id>
   

   • SubnetId - Suchen Sie die Teilnetz-ID mithilfe des Befehls get subnet und füllen Sie anschließend die Variable:

   export SubnetId=<your_subnet_id>
   

3. Wenn alle Variablen initialisiert sind, erstellen Sie das VPN-Gateway:

   • Um ein richtlinienbasiertes VPN-Gateway zu erstellen, verwenden Sie den folgenden Befehl:

      curl -X POST "$vpc_api_endpoint/v1/vpn_gateways?version=$api_version&generation=2" \
        -H "Authorization: $iam_token" \
        -d '{
           "name": "my-new-vpn-gateway",
           "mode": "policy",
           "subnet": {
            "id": "'$SubnetId'"
            },
           "resource_group": {
             "id": "'$ResourceGroupId'"
           }
         }'
   

   • Um ein VPN-Gateway für eine auf statischen Routen basierende VPN-Verbindung zu erstellen, verwenden Sie den folgenden Befehl:

      curl -X POST "$vpc_api_endpoint/v1/vpn_gateways?version=$api_version&generation=2" \
        -H "Authorization: $iam_token" \
        -d '{
           "name": "my-new-vpn-gateway",
           "mode": "route",
           "subnet": {
            "id": "'$SubnetId'"
            },
           "resource_group": {
             "id": "'$ResourceGroupId'"
           }
         }'
   

   • Um ein VPN-Gateway für eine dynamische routenbasierte VPN-Verbindung zu erstellen, verwenden Sie den folgenden Befehl:

      curl -X POST "$vpc_api_endpoint/v1/vpn_gateways?version=$api_version&generation=2" \
        -H "Authorization: Bearer $iam_token" \
        -H "Content-Type: application/json" \
        -H "Accept: application/json" \
        -H "X-Correlation-ID: 9852c2ff-c20a-4082-98da-cd689bcd5a11" \
        -d '{
            "name": "my-new-vpn-gateway",
            "subnet": {
            "id": "'"$SubnetId"'"
            },
            "mode": "route",
            "local_asn": 64520,
            "advertised_cidrs": [
            "192.168.0.0/24"
            ],
            "resource_group": {
            "id": "'"$ResourceGroupId"'"
            }
        }'
   

   • Um alle angekündigten CIDRs für ein VPN-Gateway aufzulisten, verwenden Sie den folgenden Befehl:

      curl -X GET "$vpc_api_endpoint/v1/vpn_gateways?version=$api_version&generation=2/$vpn_gateway_id/advertised_cidrs/$cidr?__QUERY__" \
        -H "Authorization: Bearer $iam_token"
   

   • Um eine angekündigte CIDR von einem VPN-Gateway zu entfernen, verwenden Sie den folgenden Befehl:

      curl -X DELETE "$vpc_api_endpoint/v1/vpn_gateways?version=$api_version&generation=2/$vpn_gateway_id/advertised_cidrs/$cidr?__QUERY__" \
        -H "Authorization: Bearer $iam_token" \
   

   • Verwenden Sie den folgenden Befehl, um eine angekündigte CIDR auf einem VPN-Gateway festzulegen:

      curl -X PUT "$vpc_api_endpoint/v1/vpn_gateways?version=$api_version&generation=2/$vpn_gateway_id/advertised_cidrs/$cidr?__QUERY__" \
        -H "Authorization: Bearer $iam_token"
   

Den vollständigen Satz von APIs für Site-to-Site-VPN-Gateways finden Sie in der VPC-API-Referenz.

VPN-Gateway mit Terraform erstellen

Das folgende Beispiel veranschaulicht die Erstellung eines VPN-Gateways mit Terraform:

   resource "ibm_is_vpn_gateway" "is_vpn_gateway" {
   name = "my-vpn-gateway"
   subnet = ibm_is_subnet.is_subnet.id
   mode = "route"
   }

Weitere Informationen finden Sie in der Terraform-Registrierung.